VPN-сервер включен перед брандмауэром
Чтобы защитить VPN-сервер от отправки или получения всех видов трафика на его интерфейс Интернета, за исключением VPN-трафика, Вам необходимо настроить фильтры входа и выхода PPTP или L2TP/IPSec на интерфейсе, подключенному к сети Интернет. Так как на внешнем интерфейсе разрешена IP-маршрутизация, в случае, если на данном интерфейсе не будут настроены фильтры PPTP или L2TP/IPSec, любые данные, полученные на интерфейс Интернета будут маршрутизированы, что может привести к нежелательному Интернет-трафику в Вашей интрасети.
Входящий трафик после расшифровки туннелированных данных VPN-сервером передается на брандмауэр. Брандмауэр в данной конфигурации действует в роли фильтра для трафика интрасети и может предотвращать доступ к определенным ресурсам, препятствовать распространению вирусов, определять попытки вторжения, а также выполнять другие функции. Поскольку весь Интернет-трафик, разрешенный в интрасети, должен проходить через VPN-сервер, это означает, что пользователи Интернета, не являющиеся пользователями VPN, не смогут получить общий доступ к протоколу FTP или к веб-ресурсам интрасети.
На рисунке 3 показана схема включения VPN-сервера перед брандмауэром.
Рисунок 3 – VPN-сервер включен перед брандмауэром
В соответствии с политиками безопасности Вашей сети, Брандмауэр настраивается при помощи правил для трафика интрасети, который принимается и передается VPN-клиентами.
Настройте следующие фильтры входа и выхода для интерфейса Интернета VPN-сервера при помощи оснастки Маршрутизация и удаленный доступ (Routing and Remote Access). Для этого нужно запустить оснастку, раскрыть узел IP-маршрутизация (IP Routing), выбрать элемент Общие (General) и открыть свойства нужного интерфейса. Данные фильтры настраиваются автоматически мастером установки сервера маршрутизации и удаленного доступа (Routing and Remote Access Server Setup Wizard) в Windows 2000 с пакетом обновления 2 (SP2) и выше.